Diferența cheie: XSS și CSRF sunt două tipuri de vulnerabilități ale securității calculatorului. XSS înseamnă Cross-Site Scripting. CSRF reprezintă o falsificare a solicitărilor transfrontaliere. În XSS, hackerul profită de încrederea pe care o are un utilizator pentru un anumit site web. Pe de altă parte, în CSRF, hackerul profită de încrederea unui site web pentru un anumit browser.
XSS înseamnă Cross-Site Scripting. Cross Site Scripting este un exploatare de securitate în care un hacker malware inserează scripturi într-o formă dinamică. Acesta este considerat acum cel mai frecvent vulnerabilitate de securitate care se găsește în site-uri web. În XSS, un hacker injectează un script malware pe o pagină web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă.
Atacatorii sau hackerii folosesc JavaScript, VBScript, ActiveX, HTML sau Flash în acest scop. Odată ce atacul are succes, hacker-ul poate provoca daune în multe feluri. De exemplu, atacatorul poate deturna contul sau chiar poate schimba setările utilizatorului. Un exemplu comun de XSS poate fi văzut în cazul în care o legătură rău intenționată este folosită în acest scop. Se creează o legătură care conține un cod rău intenționat ascuns, iar utilizatorul este rugat să facă clic pe el. Dacă utilizatorul dă clic pe el, codul rău intenționat se execută pe browserul web al clientului.
Cross-site scripting atacurile pot fi în general împărțite în două tipuri -
- Persistente - În acest tip de vulnerabilitate, datele rău intenționate sunt stocate permanent într-o bază de date și sunt accesate mai târziu și conduse de victime fără a avea nicio cunoaștere a acestora.
- Non-persistent - În acest tip de vulnerabilitate, datele furnizate de hacker-ul rău intenționat sunt folosite la instanța respectivă fără întârziere.
CSRF reprezintă o falsificare a solicitărilor transfrontaliere. Este, de asemenea, cunoscut sub numele de atac cu un singur clic sau de sesiune de echitatie. Beneficiază de încrederea site-ului vizat pe un utilizator. Un atac rău intenționat este proiectat astfel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac. O serie de sarcini pot fi executate de către un atacator care utilizează CSRF, de exemplu, un anumit conținut poate fi postat la un mesaj de bord, stocurile pot fi tranzacționate și chiar poșta electronică poate fi trimisă prin poștă. Una dintre cele mai comune metode de a efectua un atac CSRF este utilizarea unei etichete de imagine HTML sau a unui obiect de imagine JavaScript.
Acest tip de vulnerabilitate nu se limitează numai la browsere. Scripting-ul malware poate fi făcut și printr-un document word, fișier Flash, film, etc. Unele dintre caracteristicile importante ale CSRF includ -
- Nu este obligatoriu ca victima să fie logată, deoarece depinde de intenția atacatorului.
- Cererile multiple pot fi generate de către atacator la site-ul țintă.
- Funcționează extrem de bine cu alte tipuri de atacuri.
- În general, datele de pe site-ul atacat nu pot fi citite de către atacator și acest lucru servește drept o limitare pentru CSRF.
Comparație între XSS și CSRF:
XSS | CSRF | |
Formular complet | Scripting pe mai multe site-uri | Cererea de falsificare a site-urilor |
Definiție | În XSS, un hacker injectează un script malware de pe un site web. Acest script este adăugat pentru a provoca o formă de vulnerabilitate față de o victimă. | Beneficiază de încrederea site-ului vizat într-un utilizator. Un atac rău intenționat este conceput în așa fel încât un utilizator să trimită solicitări rău intenționate către site-ul țintă fără a avea cunoștință de atac. |
Dependenţă | Injectarea datelor arbitrare prin date care nu sunt validate | Cu privire la funcționalitatea și caracteristicile browserului pentru a prelua și a executa pachetul de atac |
Cerința de JavaScript | da | Nu |
Condiție | Acceptarea codului rău intenționat de către site-uri | Codul rău intenționat este localizat pe site-uri terțe părți |
Vulnerabilitate | Un site vulnerabil la atacurile XSS este, de asemenea, vulnerabil la atacurile CSRF | Un site care este complet protejat de tipurile de atacuri XSS este în continuare cel mai probabil vulnerabil la atacurile CSRF. |